Mikko Hyppönen durante el Security Innovation Day 2017

Mikko Hyppönen es el CRO (Chief Research Officer) de F-Secure y nuestro invitado estrella durante el Security Innovation Day 2017, evento de innovación y ciberseguridad de ElevenPaths. Su ponencia versó sobre el futuro y sobre cómo la ciberseguridad será cada vez más importante para nuestra sociedad.

La intervención de Mikko dio comienzo con una reflexión sobre las personas que trabajamos en el ámbito de la ciberseguridad. Para él, estos individuos se dedican a ayudar a la gente, utilizando sus conocimientos y habilidades, más allá de sus obligaciones para realizar algo bueno, que repercuta de manera positiva en nuestra sociedad.

Vivimos en una época de revoluciones. La revolución de Internet ha sucedido en estos últimos 25 años, provocando que prácticamente todos los ordenadores del planeta estén ahora conectados. Esto nos ha generado muchos beneficios, pero también debemos tener cuidado con los “delincuentes” que operan en la red y que pueden provocarnos grandes problemas.

La siguiente revolución será el IoT (Internet of Things). Ahora que ya tenemos todos los ordenadores interconectados, debemos estar preparados para una revolución con la conexión de todo lo demás. Las tendencias que impulsan esta revolución son las siguientes:

El abaratamiento del coste de conexión de los dispositivos, hasta convertirlo en prácticamente insignificante, siguiendo la conocida ‘Ley de Moore’.
La miniaturización de los ordenadores ha provocado que casi todos nosotros llevemos un equipo en nuestros bolsillos, siete veces más potente que el ordenador Deep Blue de IBM, que ocupaba una habitación y que fue capaz de derrotar al campeón mundial de ajedrez Gary Kasparov en 1994.
La automatización de nuestras infraestructuras que está generando que la mayoría sean gestionadas por ordenadores y, por tanto, estableciendo una mayor dependencia para su correcto funcionamiento.

Estas tendencias harán que en los próximos años todos los dispositivos se encuentren conectados. Hoy en día, podemos elegir entre comprar dispositivos smart conectados que nos proporcionan funciones adicionales o elegir otros tradicionales sin conexión. Probablemente, en el futuro todos los dispositivos que podamos adquirir vendrán con la conectividad de serie y no podremos evitar que se conecten, aunque no nos presten ninguna funcionalidad adicional. Simplemente serán así porque sus fabricantes querrán recolectar los datos relativos a su uso, además el coste de su conectividad será menor que el coste de los datos recogidos.

También, Mikko nos recordó que estas revoluciones no están exentas de riesgo, formulando lo que ha llamado la “Ley de Hyppönen”, donde establece que cualquier dispositivo que sea smart (smartphones, los smartwatchs, los smartcar, las smartcities...) es vulnerable. Aunque Hyppönen reconoce que puede ser una ley pesimista, quiere recordarnos que tenemos una importante responsabilidad sobre qué dispositivos ponemos online y cuál será su tiempo efectivo de vida, ya que todo equipo smart online requiere de un backend en cloud que hay que mantener. Por tanto, tendremos que diseñar dichos dispositivos para que continúen funcionando, independientemente de que dispongan de conectividad o no.

La tercera revolución que nos espera será la relacionada con el auge y uso masivo de la IA (Inteligencia Artificial). Esta revolución probablemente será la que más se retrase ya que es la más complicada de implementar. Mikko nos anticipó que probablemente vayamos a ver enfrentamientos entre humanos y máquinas, pero no se parecerán al escenario de la película ‘Terminator’, sino más bien a personas que traten de sabotear ordenadores y dispositivos para salvaguardar sus intereses como por ejemplo su trabajo o su privacidad.

Mikko concluyó su inspiradora intervención recordando que nuestro trabajo como profesionales de la seguridad, no pasa solamente por mantener seguros los ordenadores. Nuestro trabajo también es mantener segura a nuestra sociedad.

Os dejamos la ponencia de Mikko para que la disfrutéis tal y como fue en el #SID2017:

Rames Sarwat

VP of Strategic Alliances & Partnerships en ElevenPaths

rames.sarwatshacker@telefonica.com

@ramessarwat

Esta semana os traemos el relato de Laura Iglesias, una de las expertas en ciberseguridad con más experiencia en ElevenPaths y una de las mujeres que cree que la diversidad en este sector puede llegar a ser una realidad en generaciones venideras.

Laura Iglesias, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia:

El pasado miércoles iba a dar una breve ponencia sobre fraude, y el presentador que me iba a introducir, después de preguntar sobre qué iba a versar mi charla, me hizo la siguiente pregunta: "¿qué es lo que te hace única?”. Lo pensé un poco y lo primero que me vino a la cabeza fue contestarle que soy una “millennial mayorcita”, y que eso me permite entender muy bien la generación millennial y su amor por la tecnología, ya que al fin y al cabo es mi propia generación, pero también hacer de puente con la de nuestros padres y abuelos, que no nacieron en un entorno tan digital ni con tantas posibilidades.

Hay muchas definiciones de lo que es un millennial, pero aparte de marcar el año 2000 como esa fecha inicial a partir de la cual entramos en la mayoría de edad, me quedo con dos características que se repiten en los que conozco y que creo que encajan muy bien con la definición de un hacker:

El amor por la tecnología, un básico: los millennials no entendemos la vida sin las posibilidades que nos abre la tecnología.
El descontento casi permanente con el entorno, que a mi entender es en realidad un afán permanente de superación, de ser mejor, de hacer las cosas mejor, de conseguir metas más elevadas, y en definitiva, desafiar siempre el status quo, exactamente igual que hace un buen hacker.

De hecho casi podrían haber definido a nuestra generación como la "generación hacker", ¿no?

Al igual que muchos millennials tuve la suerte de entrar en contacto con la tecnología a una edad bastante temprana, y he de reconocer que me enamoré enseguida. Siempre he tenido curiosidad por saber cómo funcionan las cosas: los coches, las lavadoras, el microondas, o por qué vuela un avión… y en una época en la que todavía era costumbre ir a buscar información a una biblioteca (sí sí… una biblioteca), yo iba cada sábado con mi padre y mis hermanos allí a sacar libros con los que luego aprendíamos cientos de cosas. Pero cuando por fin entró en mi casa en ordenador, ¡y el acceso a Internet! Fue increíble… Enseguida supe que quería dedicarme a eso. En aquel momento no sabía si mi trabajo sería arreglar ordenadores en una tienda o programar juegos en disquete (algún millennial se acordará de lo que son…), pero tenía claro que eso me apasionaba.

Como soy de curiosidad insaciable acabé decantándome por ir a la universidad y estudiar una Ingeniería de Telecomunicaciones, pues además de aprender a programar o entender cómo funcionan los ordenadores pensaba que me abría a otras posibilidades: entender de antenas, de redes de comunicaciones, de circuitos electrónicos digitales, etc. Y de trabajar en casi cualquier cosa que quisiera. Hasta en la NASA. Y aunque la carrera me resultó un poco teórica, creo que sentó las bases para abrirme un mundo de posibilidades bastante amplio. Y desde luego me ayudó a forjar una personalidad de superación constante de desafíos, que desde entonces me acompaña.

En aquel momento no fue fácil. Éramos pocas chicas pero peleonas, nunca nos amedrentamos por ser minoría, al contrario, ¡más para elegir! :) Y ante la adversidad común (esas asignaturas imposibles, esos profesores que sólo aprobaban al 10%…) era fácil hacer amigos. Compartir apuntes, dudas, risas y sueños. Aprender a trabajar en equipo. Explicarnos cosas unos a otros. Darte cuenta de que aunque te creas muy listo, no lo sabes todo, y que se llega más lejos en equipo que intentando caminar solo. Lecciones de vida mucho más importantes que todas las mates y la física que aprendimos, y que seguramente ya he olvidado.

Actualmente, trabajando en ElevenPaths y en lo que llevo de vida profesional he podido aprender y experimentar con un montón de cosas, como programar en lenguajes que desconocía, aprender criptografía y aplicarla en una empresa para hacer crecer su negocio, entender cómo funcionan algunos tipos de malware y cómo detectarlos y combatirlos, o saber cómo identificar un ataque de hacking o cómo prevenirlo. Todo esto en un mundo que está cambiando a velocidad de vértigo, cada vez más conectado y más digital y con más oportunidades y más riesgos. Un mundo en el que cada día tengo que aprender cosas nuevas, y en el que mi trabajo constante es desafiar lo que está establecido, preguntarme una y otra vez “Y si…?”.

Un mundo apasionante de posibilidades infinitas, y que seguramente ya he olvidado.

Laura Iglesias Febrero

Telefónica Cyber Security Professional Services Manager
@ElevenPaths
@lauraif82

Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. A partir de hoy, iremos publicando las historias recibidas más inspiradoras, valientes y alentadoras.

Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHackers:

» Mamá, yo quiero ser hacker
» Sheila Berta, la speaker más joven en DefCON & BlackHat

MicroLatch, construyendo Latch en la palma de tu mano

¡MÁS INFORMACIÓN!

El experto de ElevenPaths, Álvaro Núñez-Romero, explicará en este webinar cómo aplicar Latch al mundo físico a través de un pequeño microcontrolador llamado MicroLatch. El microcontrolador es el ESP8266-01 que tiene un firmware específico llamado NODEMCU mediante el que se puede programar este chip con el lenguaje Lua. De este modo, logramos crear un proyecto con conectividad a internet y pocas líneas de código.

Si quieres ser un doer y formar parte de la comunidad de Latch no te pierdas este el próximo miércoles, 29 de noviembre, en nuestra comunidad. ¡Developer, te esperamos a las 15:30 horas (CET)!

También te puede interesar:

» #CodeTalks4Devs: Di adiós al ‘polling’ en Latch con los nuevos Webhooks

» #CodeTalks4Devs: SDK de Go para Latch
» #CodeTalks4Devs: Implementación de Data Exfiltration con Latch’sApp
» #CodeTalks4Devs: DirtyTooth, instalación en tu Raspberry con un paquete DEB
» #CodeTalks4Devs: Latch Cloud TOTP en NodeJS y .NET
» Web de Latch

En estos últimos meses, hemos continuado investigando acerca de diferentes componentes dentro de los servidores PACS, comentados ya en posts anteriores (PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos y PacsOne Server “All bugs in One” en la gestión de imágenes radiológicas). Hemos llevado a cabo un análisis general y aleatorio de varios clientes DICOM de tipo web (DICOM Web Viewer) de diferentes fabricantes y proyectos que podemos encontrar en internet en la actualidad, ya sea a través de sus aplicaciones demos o a partir de sus instaladores (versiones free o trial).

Como se imaginan, los clientes DICOM desarrollados como aplicaciones web, permiten que algún médico o paciente pueda visualizar las imágenes de una radiografía o datos de estudios realizados desde cualquier dispositivo tecnológico (computadora, móvil, etc.), gestionando con ello información sensible tanto para empresas que los implementan como para los clientes. Lamentablemente, muchas de estas aplicaciones arrastran problemas de seguridad en su código y ponen en riesgo la información de los clientes (pacientes) o la infraestructura en sí misma.

OWASP Top 10 vs DICOM Web Viewers

Sin ser éste un análisis de código fuente al detalle de estas aplicaciones, quisimos establecer una introducción al estado actual de estas aplicaciones web en referencia al OWASP Top 10, ya que hemos evaluado de manera superficial varias aplicaciones aleatoriamente, obteniendo así los resultados generales expresados en la siguiente matriz:

Categoría en OWASP	Aplica
A1 – Injection	ü
A2 – Broken Authentication & Session Management	ü
A3 – Cross Site Scripting (XSS)	ü
A4 – Broken Access Control	ü
A5 – Security Misconfiguration	ü
A6 – Sensitive Data Exposure	ü
A7 – Insufficient Attack Protection	ü
A8 – Cross Site Request Forgery	ü
A9 – Using Components with Known Vulnerabilities	ü
A10 – Unprotected APIs	ü

De la mera observación, podemos deducir que en las aplicaciones revisadas todas las categorías de riesgo fueron encontradas, al menos, en una oportunidad dentro de la investigación (muestreo de 12 aplicaciones famosas en el ámbito). A fin de evidenciar lo mencionado, presentamos a continuación un caso (prueba de concepto), de los diferentes hallazgos que hemos recogido durante nuestro breve análisis.

Caso A1 [Ataque de Inyección SQL permite lista información de todos los pacientes]

Caso A3 [Falta de Validación permite ataques XSS Reflejado]

Caso A5 [Falta de Hardening expone información técnica]

Caso A10 [Falta de validación en WebServices “APIs” permite Ataque Inyección SQL]

Lamentablemente, en términos generales, varios de los fabricantes de este tipo de aplicaciones no parecen poseer procedimientos que garanticen el desarrollo seguro de las mismas, basado en las múltiples vulnerabilidades web encontradas y desconocen que en su mayoría pudieran tener gran impacto tanto en la empresa que la implemente como en sus clientes.

Desde ElevenPaths intentamos colaborar con las distintas industrias en mejorar sus plataformas tecnológicas, acercándoles estudios, conocimiento, tecnologías y soluciones basadas en servicios, pero nos queda claro que nos falta un camino muy largo por recorrer a todos. Cada vez que nos proponemos mirar una tecnología diferente, uno puede sentir que ha retrocedido algunos años en cuanto a los controles de seguridad existentes, sin embargo, esos problemas siempre estuvieron allí, no retrocedimos, sólo que hasta este momento no nos habíamos preocupado por mirarlo, y eso nos puede afectar directamente a todos…

Carlos Ávila

Chief Security Ambassador

carlos.avila@global.11paths.com

@badboy_nt

El próximo jueves, 30 de noviembre, es el día mundial de la Ciberseguridad. En ElevenPaths, un día se nos queda corto así que desde hoy y hasta el próximo domingo, celebraremos la 'Semana de la Ciberseguridad'.

Cada día, en nuestros perfiles en redes sociales, compartiremos ciberconsejos -síguelos como #cybertrick-, de algunos de nuestros expertos más top.Chema Alonso, Yaiza Rubio, Carmen Torrano, Pablo San Emeterio y Félix Brezo compartirán, en primera persona, consejos con el objetivo de garantizar la ciberseguridad de las empresas y de los usuarios en general. Entre todos, debemos trabajar para crear un Internet más seguro y unos usuarios más protegidos.

ElevenPaths con el 'Día Mundial de la Ciberseguridad'

Además, en este marco, el próximo jueves 30 de noviembre tendrá lugar una jornada de formación y concienciación, sobre problemas relacionados con el mundo digital actual: ciberbullying, grooming, violencia de género y sexting, organizada por la Fundación Telefónica y la Fundación ANAR. Esta actividad tendrá lugar en el IES Vega del Jarama, situado en la localidad madrileña de San Fernando de Henares, y la impartirán expertos de ElevenPaths. Podrás seguir los detalles de esta formación en nuestro perfil de Twitter.

¡Nos vemos en las redes!

ElevenPaths 2.0

¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material super cifrado? ¿Contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos...) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial.

Horas después de hacer pública la información en bruto de los discos duros de al menos tres equipos encontrados allí, la CIA eliminó el contenido debido a "problemas técnicos". Ocho días después, volvieron a publicar la información, pero en esta ocasión todos los documentos Office se convirtieron a PDF y los archivos EXE fueron "desactivados" eliminando sus cabeceras por "razones de seguridad".

El extraño movimiento de la CIA

¿Se arrepintieron en menos de 24 horas y por eso publicaron una versión modificada? No lo sabemos, pero lo que sí sucedió es que, al volver a publicar todo, agregaron sus propios metadatos. Por ejemplo, ahora sabemos que utilizaron LibreOffice 5.2 (que no es la última versión y presenta algunos problemas de seguridad).) para convertir documentos de Office a PDF y LibreOffice 5.0 para convertir RTF. ¿LibreOffice tiene una herramienta para convertir a PDF algunos miles de archivos? Sí, la hay. Probablemente usaron lowrite, que es capaz de convertir archivos a PDF desde línea de comandos.

Usamos nuestro https://metashieldclean-up.elevenpaths.com para analizar los datos

Por alguna razón, la CIA no convirtió correctamente todos los archivos .DOCX a PDF. Aquí hay un ejemplo del contenido de algunos de los ficheros.

Datos un poco mezclados a la hora de convertir un PDF

Estos archivos fueron incautados hace 5 años. Pero, ¿por qué tanta prisa? Ni siquiera comprobaron que los archivos se convirtieron correctamente antes de volver a publicarlos. En cualquier caso, según informan, durante la segunda versión eliminaron algún "malware". En concreto 815 muestras diferentes. De esas 815 muestras de "malware", verificamos contra Virustotal y obtuvimos el siguiente resultado:

No encontrados: 524
Encontrados con 0 positivos: 146
Encontrados con algún positivo: 145

Al menos 146 muestras no han sido consideradas como malware por los antivirus, pero para la CIA sí. Eso no está mal, los AVs no siempre tienen la razón, ya lo sabemos... pero, al analizar algunas muestras manualmente, no vemos ninguna evidencia de malware en ellas. ¿Por qué eliminarlos? Algunos son documentos, algunos ejecutables... ¿Realizará la CIA un análisis más profundo? Eso es lo que parece. Tomamos algunas muestras aleatorias como 903A80A6E8C6457E51A00179F10A8FA8, no detectadas por ningún antivirus hasta el día de hoy, y encontramos lo que parecería material malicioso. Bien por la CIA, ¿o no?

Si bien esta es la excepción (porque el archivo no parece malware si se analiza más a fondo). En realidad, hay muchos otros documentos que parecen no estar infectados de ninguna manera o que supongan un riesgo. Sin embargo, por algún motivo, han sido eliminados por ser clasificados específicamente como "malware" o peligrosos aunque no parece que lo sean.¿Por qué eliminarlos entonces?

Como vemos, algunos ficheros incluso .log (solo texto) han sido marcados como malware por la CIA

Analizando la memoria (aunque los equipos estuvieran apagados)

Hemos podido analizar la primera publicación en donde (intencionalmente o no), había archivos críticos del sistema como pagefil.sys, hiberfil.sys, registros y montones de gigas de información interesante que podían analizarse más allá de los metadatos. Al margen del tratamiento de datos publicados de nuevo por la propia CIA, una vez que tuvimos todo el material original, la primera acción "no obvia" fue analizar los pagefile.sys y los hiberfil.sys. Estos archivos son especialmente interesantes porque literalmente, podemos encontrar cualquier cosa en ellos. En concreto, un fichero hiberfil.sys en Windows es un volcado de la memoria en sí y el pagefile.sys es el archivo de "swap", por lo que habrá trozos de "recuerdos" en memoria de diferentes procesos donde se pueden encontrar direcciones URL, contraseñas... Encontramos dos archivos hiberfil.sys y siete pagefile.sys de al menos tres equipos.

Lo primero a lo que nos dirigimos fue a las direcciones URL. Los vídeos siempre son interesantes. Principalmente, vídeos para niños. También encontramos sus proxies preferidos para navegar de "incógnito", como http://tproxy.guardster.com. De estas direcciones se pueden deducir las URL que estarían visitando. Foros principalmente islámicos.

Pero además se han detectado algunos IOC como evidencia de malware en memoria. Por ejemplo: 20080311cPxl31 (que nos lleva a un downloader de Flash popular durante 2011), http://jL.chura.pl/rc/, http://218.25.11.147/download (un distribuidor de malware chino bastante anticuado, o eso parece), http://59.106.145.58 (relacionado con MS08-067), http://85.17.138.60/traf/fgaX, 29x67629n689 (no es un string muy común...). Estas son algunas muestras de las cadenas encontradas en memoria.

Pero dos de ellos son especialmente interesantes. La cadena ftp://ggss:xsw2xsw2@ que se encuentra en uno de los pagefile.sys, que obviamente es un nombre de usuario y contraseña de un FTP, pertenece a esta muestra 4742ae6404fa227623192998e79f1bc6 que no parece malware popular. En ella hay algo que nos llama la atención: si la redada tuvo lugar en mayo de 2011, ¿por qué esta muestra se vio por primera vez en VirusTotal en 2015? ¿No estuvo en ninguna base de datos durante cuatro años? ¿Solo en un equipo en Abbotabd? Algo posible es que se trate de un malware genérico que cree su propio usuario y contraseña según la víctima, pero no parece el caso.

Además de estro, hay otras referencias a malware en los pagefile.sys o hiberfil.sys. Este, en concreto, se ve especialmente interesante.

Algunos trozos de memoria

Siempre existe la posibilidad de que estos fragmentos de información en memoria no indiquen un compromiso, como por ejemplo que el usuario buscanba información sobre ese malware, firmas de AV... pero a partir del fragmento en sí, creemos que ese equipo estaba infectado. El fragmento "password sender trojan by:spyder" es realmente una pieza antigua de malware de al menos el año 2000.

Un viejo fichero PDF creado por SANS que hace referencia a este keylogger

Por lo tanto, aparte de los 815 posibles archivos de malware etiquetados como tales por la CIA, algunas evidencias encontradas en memoria vinculadas a otras muestras de malware (además de las evidencias que mostraremos en la siguiente entrega) nos hacen pensar que esos equipos estaban completamente infectados.

Por cierto, el antivirus que mantenían instalados todos era una versión pirateada de ESET32, puesto que ejecutaban el servicio. Aunque algunos sistemas parecen contener archivos pertenecientes a AVG e incluso se han identificado algunas claves de software de Kasperksy pirateado.

Pero, aparte de eso, los ficheros hiberfil.sys son interesantes por otra razón. El proceso LSASS, si se trata de la manera correcta, se puede "montar" a partir del hiberfil.sys y verificar las credenciales. Eso es lo que hemos hecho. Intentar dar con las contraseñas de los usuarios registrados justo cuando se creó el archivo. Hemos probado con el hiberfil.sys de SHAED-PC, uno de los equipos de las instalaciones de Bin Laden.

Utilizando herramientas de depuración para Windows (WinDbg), Windows Memory toolkit Free Edition y Mimikatz, para encontrar contraseñas de Windows. El proceso consiste en convertir el hiberfil.sys en un formato que WindDbg entiende, encontrar el proceso LSASS, ejecutar mimikatz. El resultado fue que no había contraseñas.

Sacando las contraseñas del fichero hiberfil.sys

NTLM y LM son claramente nulos, por lo que podemos deducir que las contraseñas estaban en blanco. Estos ficheros contienen mucha más información, esto parece solo una pincelada de todo lo que se podría encontrar.

En la siguiente entrada de blog profundizaremos en los archivos de registro, las contraseñas utilizadas para la comunicación, qué programas se ejecutan cuando los equipos se inician...Y otras revelaciones interesantes.

Innovación y laboratorio
innovationlab@11paths.com

ElevenPaths

¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material super cifrado? ¿contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos...) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial.

Horas después de hacer pública la información en bruto de los discos duros de al menos tres equipos encontrados allí, la CIA eliminó el contenido debido a "problemas técnicos". Ocho días después, volvieron a publicar la información, pero en esta ocasión todos los documentos Office se convirtieron a PDF y los archivos EXE fueron "desactivados" eliminando sus cabeceras por "razones de seguridad".

Analizando archivos de registro

Además de los ficheros de memoria, nos encontramos con los archivos de registro. Pudimos analizar todo tipo de archivos de sistema, incluidos no solo los ficheros HIVE, sino también SAM y SYSTEM. Su análisis nos puede proporcionar las contraseñas para Windows, cuándo se usan para iniciar sesión o en servicios instalados, programas, licencias de Microsoft y mucho más. Lo que hicimos fue recuperar todos los archivos de registro e intentamos que volvieran a la vida. Estas son algunas de las conclusiones.

Todos los sistemas (ALNSER-81089E22, SHAED-PC y MASOOD-A4065887 (de Masood Khan)) usaron las mismas dos licencias "públicas" de Windows XP (QW4HD-DQCRG-HM64M-6GJRK-8K83T y RHKG3-8YW4W-4RHJG-83M4Y-7X9GW).

Uno de los equipos vivo desde 2002

Como teníamos los archivos SAM, podíamos tratar de recuperar las contraseñas. Ya lo hicimos con los hiberfil.sys, pero por si acaso repetimos el ejercicio con otra perspectiva. Los archivos SAM, por defecto, están cifrados con SYSKEY... pero no hay problema aquí. Los archivos de registro necesarios para calcular el SYSKEY también los teníamos, pero mezclados. No sabíamos qué archivo SAM estaba en qué equipo o qué archivo SYSTEM vino con qué archivo SAM. Así que tuvimos que hacer un pequeño ataque de "fuerza bruta" mezclando todas las evidencias encontradas.

Después de usar Bkhive, hemos utilizado Cain solo para verificarlo

Algunas de las claves SYSKEY obtenidas que cifraban la SAM son 9e11eec3a1bdfa93caaa4691b08a372c, 09c6b06c839bb4bbda3d3d267f0316e4, d776321d44b86563039ae83db9becbea... Desciframos todos los archivos SAM encontrados con ellos... Pero tampoco se encontraron contraseñas, con lo que concluimos (de nuevo) que no protegían sus cuentas de usuario local.

Con algunos ficheros de registro (HIVEs) y SYSTEM, podemos saber qué programas se encontraban programados al arrancar el sistema (la localización típica del malware HKLM o HKCU y CurrentVersion\Run).

Imagen de algunos programas capaces de arrancar equipos

Algunas muestras de los programas que arrancaban dos de los equipos

Podemos ver dos ejemplos de dos equipos diferentes. Por supuesto, "Msn Messsenger" (con tres "s") no existe y regsvr.exe probablemente sea malware. SCVhost.exe no es svchost.exe y en winlogon (Userinit) solo debe aparecer el explorador (no regsvr.exe)... Todos al final son síntomas comunes de infección de malware, como ya constatamos en la entrada anterior.

Con esta información y mirando en los lugares adecuados, podemos conocer no solo sus contraseñas sino también sus hábitos. Incluso podemos llegar a saber cuándo generalmente inician sesión (principalmente durante la tarde) o los usuarios de los equipos, así como cuándo se realizó el último login en el equipo.

Respondiendo a esto último, fue el 1 de mayo de madrugada... justo un día antes de la redada de la CIA fechada el 2.

Contraseñas y... contraseñas

Por otro lado, también buscamos algunas ubicaciones más probables donde encontrar contraseñas. Intentamos localizarlas, por ejemplo, en la base de datos de Firefox, llamada key3.db (más algunos otros archivos JavaScript y sqlite). Pero no tuvimos suerte.

Base de datos de preferencia de Firefox... sin contraseñas

También lo intentamos con las contraseñas de Outlook Express, puesto que están almacenadas en el registro. A pesar de que encontramos una contraseña, no era real y parecía haberse configurado al azar durante el momento de la instalación.

Imagen de la cuenta de Outlook Express de Masoud

La cuenta de Outlook Express de Masoud, que parece falsa

Tampoco había signos de gestores de contraseñas en las unidades. De hecho,encontramos una contraseña escrita en un archivo .txt y sin contexto.

Y otras con algún contexto. Investigando un poco, conocemos que esta contraseña no es para ningún servicio, sino que representa algún tipo de código de activación de Office.

Ejemplo de código de activación de Office

Contraseñas para comunicación entre terroristas

Pero, una de los objetivos más interesantes, suponía encontrar contraseñas usadas para las comunicaciones entre terroristas. Gracias a Metashield Protector, encontramos una dirección de correo electrónico fidaa22@yahoo.com insertada en un documento Word. Pero el contexto del archivo era mucho más interesante que el propio archivo o el correo electrónico en sí.

Traducción de las instrucciones para una comunicación "segura"

En estas carta se envían las instrucciones para una comunicación "segura"

En esta carta, el remitente recomienda que, debido a que Internet es tan inseguro, su comunicación debe ser comprimida con contraseñas en los archivos enviados entre ellos. La contraseña significa en inglés algo similar a: "No tengo objeción a lo que di, y él es de mente abierta".

La carta es para Mukhtar Abi Al-Zubayr, el líder del grupo militante somalí Harakat al-Shabab al-Mujahidin, que se fusionó con al-Qaeida después de la muerte de Bin Laden. La carta alerta al receptor sobre la extensión de los archivos cifrados que se intercambien, y recomienda cambiar de ZIP a alguna extensión de archivo multimedia, como MP3 o similar.

Metadatos

Gracias a algunos metadatos, pudimos encontrar uno de los últimos documentos escritos desde esos equipos. La fecha se establece en el "futuro" de enero de 2012 (o incluso más adelante) para algunos de los documentos encontrados. Suponemos que la fecha de algunos equipos se encontraba configurada incorrectamente.

Metashield Forensics mostrando el ciclo de vida de algunos documentos

Esta carta en particular fue escrita un domingo e impresa un jueves. Pero antes de eso, fue editada de alguna manera.

Imagen de la primera versión de una carta

Imagen de la segunda versión de una carta

Primera versión de la carta de arriba. Última versión a continuación

"Le había enviado una carta anterior a través del jeque Mahmoud. Le pido su número de teléfono para organizar con usted mi boda solicitada por parte del honorable jeque Abu Abd al-Rahman...". Un tiempo después añade a la carta una recomendación de seguridad sobre cómo transmitir la información: "Para el número de teléfono [con el que nos pondremos en contacto], sepárelo en el mensaje organizándolo en varias partes como fondos u objetos".

Leían libros de hacking

A pesar del malware, el warez y la falta de medidas de seguridad encontradas, guardaban en su disco duro un libro de hacking.

Imagen de un libro de Hacking, localizado en un ordenador de Bin Laden

Uno de los libros de hacking encontrado en uno de los ordenadores de Bin Laden

Este libro, creado por el conocido "Terrorista 007 ", estaba en algún lugar de los discos duros. Es una guía básica bastante simple sobre seguridad ofensiva, creada probablemente en 2006, con trucos tradicionales y hacks "habituales".

» Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I)

Innovación y laboratorio
innovationlab@11paths.com

ElevenPaths

Ilustración realizada por Catalina Guzmán

"Las mujeres necesitan módems”.

Jude Milhon

Jude Milhon o San Jude era conocida en el sector tecnológico como la santa defensora de los hackers ya que abogaba por la privacidad y el uso público de Internet. Creía firmemente que Internet debía estar disponible para todos, no solo para el Gobierno y entidades privilegiadas. Además, fue creadora del término cypherpunk, programadora, escritora y activista en la lucha de incentivar a las mujeres a formar parte del ámbito digital.

Biografía

Jude Milhon nació el 12 de marzo de 1939 en Washington DC y murió el 19 de julio de 2003 en San Francisco, California. Vivió la mayor parte de su adolescencia en Anderson, Indiana, donde fue encarcelada varias veces por desobediencia civil, ya que desde temprana edad fue defensora de los derechos civiles.

En 1967, Milhon empezó su carrera en el mundo de la informática aprendiendo a programar con la guía Teach Yourself Fortran, lenguaje de programación por medio de las matemáticas. Era una época en la que la informática era un mundo dominado por hombres y por eso, Jude, tuvo que abrirse paso e incentivar a otras mujeres a unirse al conocimiento de la cultura cibernética. Ella animaba a otras mujeres a unirse a esta cultura ya que creía en el placer de experimentar con la tecnología, a huir de la imagen que la sociedad exigía de ellas por el hecho de ser mujeres. Para ella, el uso de la web era algo muy importante porque “cuando estás en el ciberespacio nadie sabe cuál es tu género”.

San Jude fue miembro de diferentes asociaciones que defendían la privacidad digital del usuario y la responsabilidad social que conlleva su uso. Entre estas organizaciones estaba el grupo de Cypherpunks, término que unía la palabra cifra con el movimiento punk, y que Jude fundó en 1973. A través de este movimiento, defendían la privacidad y la comunicación segura, ya que entendían que nadie se las iba a proporcionar. Por eso, crearon los códigos de seguridad a través de la criptografía, comunicación secreta que trataba de garantizar la privacidad digital. En definitiva, apostaron por un mundo en el que la huella digital de cualquier usuario fuera rastreada solo si éste así lo permitía.

Para ella, el 'hackeo' era "la evasión inteligente de límites impuestos, ya sea por el Gobierno, por nuestras propias habilidades o por las leyes de la física". Jude logró sobrepasar estos límites creando el primer sistema público de Internet llamado Proyecto de la Comunidad de Memoria, ya que Internet estaba limitado a pocas entidades gubernamentales e instituciones privilegiadas.

Bajo esta misma filosofía y su intento de involucrar a las mujeres a usar Internet, la hacker escribió un libro llamado, “Hackeando a las personas: El libro de cabecera de las Nerd”. Con este libro ella intentó hacer del tema del hacking algo interesante para las mujeres, donde ponía de manifiesto que para ser alguien no se necesitaba un gran físico o mucha belleza, sino un buen cerebro y la mejor actitud.

¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario!

Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM:
» Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In"
» Susan Kare: una pionera e influencia en la iconografía digital
» Dorothy Vaughan: matemática y primera manager afroamericana de la NASA

ElevenPaths y Microsoft integran, gracias a la tecnología Gradiant, Azure Key Vault con la plataforma SealSign. El acuerdo proporciona un servicio de firma digital en servidor y custodia de certificados basado en HSM con altos niveles de seguridad, escalabilidad y rendimiento.

Imagen de recurso, post Microsoft,Gradiant e ElevenPaths

El uso de hardware criptográfico seguro o HSM (Hardware Secure Module) proporciona un mecanismo muy adecuado para la custodia y protección de claves, aunque su coste y complejidad de instalación y configuración dificulta su adopción. Por ese motivo surgen soluciones as a service como Azure Key Vault, que ofrece la posibilidad de usar los HSMs como un servicio más dentro de la nube pública.

SealSign® es una plataforma empresarial, escalable, modular y completa de firma de documentos, firma biométrica, custodia segura de certificados digitales y archivo a largo plazo de documentos electrónicos desarrollada por ElevenPaths. Esta plataforma permite configurar diferentes proveedores criptográficos mediante una interfaz estándar PKCS#11. Que facilita el acceso seguro a certificados y claves guardadas en HSMs y así, poder realizar firmas sin comprometer la seguridad y privacidad de los datos sensibles.

Azure Key Vault dispone de una API REST (Representational State Transfer) a través de la cual es posible realizar operaciones desde aplicaciones, pero dificulta su integración como proveedor criptográfico donde típicamente se utilizan protocolos de más bajo nivel, como PKCS#11. En este sentido, PKCS#11 es un interfaz de dispositivo criptográfico (Cryptographic Token Interface o ‘cryptoki’) que define una API genérica de acceso a dispositivos (típicamente HSM). La API de PKCS#11 permite a las aplicaciones acceder a “secretos” guardados en los dispositivos de forma segura, por ejemplo, para firma de documentos.

Por este motivo, Gradiant ha desarrollado el conector BlackICE Connect, basado en el estándar PKCS#11, que ofrece una librería que permite integrar el servicio de Azure Key Vault como un proveedor criptográfico en SealSign de forma que se habilita la posibilidad de realizar firmas de documentos en aplicaciones, así como la custodia de certificados digitales de forma segura haciendo uso del servicio de Azure Key Vault. Esta solución fue presentada en el Security Innovation Day 2017, evento de innovación en ciberseguridad organizado por ElevenPaths.

Esto supone un ahorro importante de costes, puesto que ya no es necesario adquirir ni mantener HSMs, tan solo pagar por el uso que se hace de ellos (típicamente en base al número de claves almacenadas y al número de operaciones realizadas con ellas).

El conector PKCS#11 - Azure Key Vault, simula un entorno de dispositivo criptográfico que expone una interfaz estándar PKCS#11 a la aplicación que la usa (por ejemplo, SealSign) y que se encarga internamente de transformar las llamadas a esta interfaz a llamadas al servicio REST de Azure Key Vault, manteniendo en todo momento (mediante un slot virtual) las estructuras de datos estandarizadas y la coherencia en las comunicaciones para que Azure Key Vault se comporte como un proveedor criptográfico de forma transparente para la aplicación.

Paula López, Data Scientist de Telefónica

Esta semana os presentamos a Paula López, experta en Data Science que disfruta el día a día diseñando y desarrollando modelos analíticos y algoritmos basados en Machine Learning e Inteligencia Artificial transformadores de datos en decisiones de negocio que mejoran la experiencia de usuario de Telefónica.

Paula López, una de las #mujereshacker de Telefónica CDO nos cuenta su historia:

Para mí, un hacker es un apasionad@ por crear, descubrir y desarrollar en el universo tecnológico. Ésta es una definición con la que me siento identificada desde el inicio de mi andadura en el mundo STEM. Cuando era una niña, recuerdo que me fascinaban los números, la tecnología y los rompecabezas. Ése fue el origen que me inspiró poco a poco y hoy, echando la vista atrás, me doy cuenta que siempre he tenido inquietud de demostrar y llevar a la realidad toda esa teoría escrita en los libros de mates.

Sobre mí os puedo contar, que me gradué en Estadística por la Universidad de Valladolid y realicé un máster de Estadística Aplicada en la Universidad de Granada. He colaborado con la universidad en proyectos de Investigación Operativa, y anteriormente, trabajé en una Start-up como analista de modelos de inversión. Actualmente, además de mi trabajo en Telefónica, formo parte de la comunidad de software libre R de España (soy una “RLady”). Además, en este último año, he dado charlas de formación internas sobre Spark, Deep Learningy otros temas con los que trabajamos día a día y nos apasionan. Nunca he querido abandonar mi camino en la tecnología, al contrario, siempre he visto una oportunidad en aquello que estaba por descubrir y en extraer la inteligencia cognitiva del dato.

Ahora lo que más me motiva es saber qué hay detrás de una simple secuencia de datos y hacerme preguntas como: ¿qué comportamiento existe en una serie de números? ¿Existe algún patrón? ¿Qué se puede obtener de ello? ¿Cómo podemos predecir qué va a pasar a partir de ahora con la información que hay hasta el momento? Cuando era pequeña, éstos eran simples juegos de adivinar qué figura falta en el grupo, o qué número sigue la serie y resulta que "de mayor" descubrí que estos juegos pueden ser muy útiles en la vida real, que, por ejemplo, se pueden utilizar para prevenir enfermedades, reaccionar a un desastre natural, predecir la delincuencia de un país, o saber cómo va a evolucionar una epidemia.

Al inicio de mi recorrido, me hubiese gustado que alguien me dijera que no es un camino difícil. Siempre "se pinta" que la programación y las matemáticas es un mundo oscuro, difícil de comprender, pero en realidad es como un reto en el que, a medida que te sumerges, te hace más independiente y te hace valer más por ti misma. Es entender una realidad que cada vez es más imprescindible para la sociedad.

Finalmente, uno de los elementos importantes para mí en este recorrido es tener un referente. En mi caso, ese referente siempre ha sido mi madre, que se dedicaba a la enseñanza de las matemáticas e informática. A día de hoy, me gustaría seguir transmitiendo lo que mi madre me ha ido trasmitido a mí, ya que creo que poco a poco será algo más común ver a una mujer "al volante", sobre todo porque las mujeres aportamos nuevos valores al mundo hacker, nuevas formas de pensar y nuevos enfoques.

Mi consejo y motivación para las jóvenes que les gustan las mates, los rompecabezas y creen que en un futuro pueden crear tecnología es el siguiente: ¡Sigue adelante con todo lo que te entre curiosidad: ¡cuestiona, investiga, descubre y a disfrutar!

Paula López Casado

Telefónica Data Science

4ª Plataforma

@paulalcasado

paulalcasado.wordpress.com

Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos.

Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHackers:

» Mamá, yo quiero ser hacker
» Sheila Berta, la speaker más joven en DefCON & BlackHat
» Laura Iglesias, experta en ciberseguridad y hacking en Telefónica

Con el año 2017 a la vuelta de la esquina, desde ElevenPaths no descansamos. Os presentamos todos los eventos para este mes de diciembre repleto de fiestas y celebraciones, y como no, seguridad informática.

ElevenPaths Talks Special Edition

La normativa RGPD

¿Estás preparado para la normativa RGPD? A partir de mayo del año que viene será de obligatorio cumplimiento dentro de la Unión Europea. El 14 de diciembre nuestros expertos Francisco Oteiza y Juan Antonio Gil, te cuentan todo lo que tienes que saber de la normativa y el cambio que supone dentro de la regulación de la privacidad. En ElevenPaths ya la cumplimos, ¿y tú?

Imgagen ElevenPaths Talks Special Edition GDPR RGPD

FOCA

Para dar por terminado el año, os traemos el Special Talk que queremos destacar y más ilusión nos hace desde ElevenPaths. Sabemos que FOCA es una herramienta que causa furor allí a donde llega, por ello, el próximo 28 de diciembre, nuestro gran experto Pablo Gonzalez nos detallará las diferencias de la antigua y la nueva FOCA, con los nuevos plugins y las maneras de contribuir en la herramienta. Let's hack!

ElevenPaths Code Talks for Devs

Detección de anomalías en el tráfico de red utilizando Machine Learning

El mundo de Machine Learning ha dado mucho que hablar a lo largo de este año. Os presentamos este #CodeTalks4Devs en el que una de nuestras #MujeresHacker, Carmen Torrano, reflexiona sobre un caso de uso práctico basado en el análisis de algoritmos aplicados a Machine Learning. El 13 de diciembre tienes una cita en la comunidad de ElevenPaths para aprender con nuestros desarrolladores. Y si tienes dudas... ¡déjalas en la comunidad y nuestros expertos te echarán un cable!

Latch Router: Proteger tu OpenWRT integrando Latch a distintos niveles

El próximo 27 de diciembre, contamos con un webinar muy especial y diferente a todos los demás. Nuestro invitado es Javier Alcaraz, un joven que nos mostrará su Trabajo Final de Grado en el que integra nuestra tecnología Latch en dispositivos para hacer frente a las ciberamenazas de la red.

ElevenPaths Talks

Open Data.. mucho para ver

Dos de nuestros Chief Security Ambassadors, Gabriel Bergel y Diego Espitia, analizan el concepto Open Data y las implicaciones legales de quienes hacen uso de esta información pública. Para aquellos que no sepáis lo que es Open Data... son los datos abiertos que podemos encontrar cualquiera de nosotros en Internet, sin restricciones de derechos de autor, de patentes o de otros mecanismos de control. No te pierdas este webinar el próximo 7 de diciembre en nuestro canal de YouTube.

Las fuerzas de seguridad y el cibercrimen

Finalizamos la tercera temporada de ElevenPaths Talks con este webinar en el que conoceremos la manera en la que Fuerzas de Seguridad luchan contra la ciberdelincuencia. Se producen casos de robo de identidad, de cyberbullying, de casos de porno-venganza, hasta estafas masivas, redes de narcotráfico o pedofilia. Los criminales no son simples usuarios de PC o telefonía, sino que muchas veces son especialistas en técnicas de evasión u ocultamiento, borrado de rastros... No olvides esta cita con CSAs, Jorge Rivera y Carlos Ávila, el 21 de diciembre.

Otros eventos

4º Conferencia Anual del Data Transarency Lab

Los próximos 11, 12 y 13 de diciembre se celebrará en Barcelona la 4ª Conferencia Anual del Data Transparency Lab. El evento es una colaboración inter-institucional impulsada por Telefónica para mejorar la transparencia en el uso y gestión de los datos personales. Este año el programa incluye paneles, workshops, demostraciones de aplicaciones, presentaciones de Programa de Becas DTL y el Hack Day.

También te puede interesar:
» Próximos eventos en la web de ElevenPaths

¿Qué ocurriría si un correo electrónico tuviese la capacidad de cambiar el contenido de forma dinámica una vez que ya hubiese sido entregado? Esto sería un verdadero desafío para los sistemas anti-spam, habitualmente situados a nivel de MTA y que procesan los correos antes de llegar a la bandeja de entrada. También para los sistemas que se basan en reputación del remitente, análisis de adjuntos o de los enlaces contenidos en el correo.¿Cómo podría un atacante eludir estos obstáculos que, aunque no garanticen en éxito del ataque, sí que permitirían eludir buena parte de los obstáculos a los que se puede enfrentar? Vamos a probar esta técnica con dos clientes de correo muy comunes: Apple Mail y Outlook.

Buena parte de ataques a compañías y usuarios particulares comienza con un correo electrónico que aloja algún tipo de contenido fraudulento. Bien sea un fichero que alberga malware, o bien sea un enlace a un sitio web comprometido que sirve como primer punto de descarga del contenido malicioso.

RopeMAKER es un tipo de ataque de correo electrónico, descubierto por Francisco Ribeiro de la compañía de seguridad Mimecast, que permite cambiar el contenido de un correo electrónico una vez entregado. Aunque no parece que la publicación de los detalles de la técnica haya tenido gran difusión mediática, nos ha parecido interesante. Este ataque podría ser utilizado en campañas de distribución de malware o phishing para engañar al usuario y a buena parte de los filtros anti-spam tradicionales.

Anuncio de RopeMAKER en Twitter

El TAGS (Telefónica Advanced Global SOC) de Telefónica ha querido verificar la efectividad real de este tipo de ataque con productos como Microsoft Outlook o Apple Mail, puesto que en la descripción del ataque se mencionan sin detallar especificaciones sobre cada una de las versiones.
Tipos de ataque

La publicación sobre ROPEMAKER indica dos tipos de ataque posibles. Ambos serían controlados por un fichero CSS que se alojaría en un servidor controlado por el atacante y serviría para cambiar el contenido del correo electrónico mostrado al usuario de forma dinámica:

Switch Exploit: Los enlaces y el texto malicioso van contenidos dentro del correo en una sola pieza, por lo que es fácilmente detectable por soluciones anti-spam.

La URL en el recuadro rojo mostraría un enlace malicioso, pero al usuario se le presentaría en primer lugar la URL mostrada en el recuadro verde (benigna)

Este sería el código CSS que, en el recuadro verde mostraría la URL
benigna y al cambiar al recuadro rojo, mostraría la URL maliciosa

Matrix Exploit: El texto no se encuentra referenciado directamente en el correo, por lo que es más difícil que los sistemas de seguridad detecten este tipo de ataque.

El códigoen el recuadro rojo permitiría mostrar el contenido malicioso

Este código CSS indica el carácter que se debe mostrar por cada identificador incluido en el correo malicioso (http://example.com/s) en este caso

Aunque el tipo de ataque Switch Exploit no supone un reto para los filtros de seguridad aplicados por las compañías, la variante Matrix Exploit ha demostrado ser efectiva en algunos de los clientes de correo más comunes entre las compañías como: Microsoft Outlook 2010 o Microsoft Outlook 2013.

Es importante remarcar que el correo electrónico cambiará el contenido de una URL tipo http://example.com/benign a http://example.com/malignsimplemente con un cambio del fichero CSS manejado por el atacante. De forma que el atacante podría variar fácilmente los portales de phishing o distribución de malware según vayan siendo intervenidos.

Veamos algunas particularidades del ataque en cada cliente de correo electrónico.

RopeMAKER en Microsoft Outlook 2010

La configuración por defecto de Outlook 2010 ha demostrado ser vulnerable a este tipo de ataque. Muestra la URL maliciosa sin necesidad de aprobar la descarga externa de contenido.

RopeMAKER mostrándose efectivo con la configuración por defecto de Outlook 2010

RopeMaker en Microsoft Outlook 2013

Esta versión de Outlook ha bloqueado en un primer momento el ataque y muestra un contenido sin sentido para el usuario, que impide que se vea afectado en un principio.

RopeMAKER bloqueado con la configuración por defecto de Outlook 2013

Sin embargo, si el usuario desea mostrar el mensaje, (lo cual es probable si el remitente parece fiable), podría permitir la descarga de contenido externo pulsando sobre el siguiente mensaje.

Mensaje advirtiendo el peligro de descargar contenido externo

Si el usuario finalmente permite la descarga de contenido, se culminará el ataque y se mostrará el mensaje malicioso.

Finalmente, mismo efecto que con Outlook 2010 si el usuario acepta mostrar el contenido externo

RopeMAKER con Apple Mail

Utilizando la configuración por defecto de Apple Mail en Mac OSX, se descarga el contenido automáticamente aunque no es capaz de procesar todas las instrucciones de la hoja de estilos CSS que mostrarían el sitio web fraudulento.

RopeMAKER bloqueado en Apple Mail de Mac OSX

En todo caso, es importante detallar que la URL remitida podría tener formato de enlace pero no contendría el link, por lo que el usuario tendría que copiar y pegar el contenido de la URL en un navegador para acceder a la página web. Esto reduce la posibilidad de éxito del ataque, pero no evita la posibilidad de que se utilice ingeniería social para que el usuario termine accediendo al sitio web fraudulento.

¿Existe alguna solución?

Aunque actualmente no se han conocido casos de ejecución de campañas utilizando RopeMAKER y parece una técnica con mayor probabilidad de éxito en casos de spear phishing, es una modalidad interesante que debería ser tenida en cuenta tanto por especialistas en ciberseguridad como por usuarios finales. Al fin y al cabo, si un atacantepudiera cambiar el contenido de un correo electrónico ya enviado de forma dinámica, ¿por qué no añadir esta técnica a su campaña de distribución de malware para intentar maximizar sus opciones de éxito?

La variante Matrix Exploit de ROPEMAKER es difícil de evitar y prevenir. Bloquear por defecto la carga de contenido externo minimiza el riesgo de ser engañado mediante un ataque de este tipo, aunque es una medida que ya se suele emplear con un éxito que no siempre es el deseado. Otra solución obvia es aplicar de forma ágil indicadores de compromiso generados por el servicio de ciberseguridad de la compañía o firmas de anti-virus con las que colabore la empresa es crucial para minimizar el riesgo de que los usuarios finales de la compañía accedan a páginas web conocidas por albergar malware o phishing.

Mario de Benito Aspas

Samuel Dugo Flores

Telefoónica Advanced Global SOC

El Proyecto abierto de seguridad en aplicaciones web (OWASP, por sus siglas en inglés) acaba de actualizar la lista de las diez principales vulnerabilidadesweb por primera vez desde 2013 pero, tras revisarlo, no ha cambiado demasiado. Según esta lista, las mayores vulnerabilidades son aquellas producidos por cualquier fallo derivado de inyecciones de código y cross site scripting (XSS) siguen estando en el top ten a pesar de que estos errores hayan estado plagados en las aplicaciones web desde hace una década y media. En este sentido, el Informe de Investigaciones de brechas de seguridad (DBIR) realizado por Verizon viene a validar desde otro punto de vista estos datos. Durante 2017 se encontraron 1.935 brechas confirmadas y analizadas, y unas 571 implicaron ataques a aplicaciones web.

Por otro lado, otro aspecto también a tener en cuenta es el destacado por el informe realizado por Black Duck relativo al uso de proyectos open source por parte de gran parte de las industrias. En un 96% del software comercial se ha identificado el uso de proyectos open source y se han detectado vulnerabilidades conocidas en dos tercios de estas colecciones de código. La conclusión que se extrae es que al final muchas organizaciones no realizan un seguimiento y una gestión eficaz de los proyectos open source y, como resultado, no son plenamente conscientes de los riesgos que acompañan a su uso.

Los riesgos actuales evolucionan demasiado rápido, por lo que los escaneos realizados de vez en cuando se quedaron atrás. El desarrollo de software actual requiere de pruebas de seguridad continuas con el objetivo de hacer frente al enorme volumen de vulnerabilidades que se encuentran a diario.

Más información en OWASP

Noticias destacadas

Reino Unido lanza Cyber Discovery, un programa para encontrar la próxima generación de talentos en ciberseguridad

El Departamento de Medios Digitales, Cultura, Medios de Comunicación y Deportes (DCMS) de Reino Unido acaba de lanzar su programa de capacitación en ciberseguridd dirigido a jóvenes que se encuentren entre los 10 y 13 años. La iniciativa tiene como objetivo ayudar a cerrar la brecha existente de habilidades en ciberseguridad del Reino Unido aprovechando el talento joven y no descubierto con la ambición de estimular y nutrir el interés por esta rama como una futura carrera profesional. Inicialmente, se invita a los estudiantes a registrarse y trabajar a través de una herramienta de selección llamada CyberStart Assess. Los estudiantes seleccionados pasarán a otras tres etapas que luego finalizarán con expertos de la industria, y tres eventos regionales con retos en vivo donde los padres y líderes pueden ver el progreso realizado por los estudiantes. Cyber Discovery se está probando en el primer año en Inglaterra, pero se espera que se expanda a otras partes del Reino Unido durante los siguientes años.

Más información en Join Cyber Discovery

Alerta de Bitcoin Gold en su wallet para Windows

Bitcoin Gold publicó el pasado domingo 26 de noviembre una alerta de seguridad advirtiendo que cualquiera que haya descargado el fichero que daba acceso al wallet para Windows entre el 21 de noviembre de 2017, las 09:39 UTC y el 25 de noviembre de 2017, a las 22:30 UTC, no debe usarse de ninguna manera. Cualquier usuario que llegara a utilizar dicho fichero debe tener en cuenta que debe usarse con extrema precaución, el archivo debe eliminarse, el equipo debe revisarse minuciosamente en busca de malware y confirmar que todas las criptodivisas se encuentran disponibles. De ser así, deben ser movidas hacia nuevas direcciones de inmediato.

Más información en Bitcoin Gold

Noticias del resto de la semana

Facebook ofrecerá una herramienta para luchar contra la propaganda rusa

Después de luchar contra determinados threat actores rusos para evitar la influencia a través de redes sociales durante las elecciones presidenciales de Estados Unidos, Facebook ha dicho que ofrecerá una herramienta que permitirá a los usuarios ver las páginas y anuncios creados por la Internet Research Agency (IRA) involucrados en operaciones de influencia en nombre de gobierno ruso.

Más información en SC Magazine

Firefox notificará a los usuarios que visiten aquellas webs que sufrieron una filtración

Firefox presentará una nueva feature de seguridad para que la experiencia de los usuarios sea más segura. En este sentido, advertirá a los usuarios si visitan sitios web que han sufrido violaciones de datos. La noticia fue hecha pública por el desarrollador de Mozilla Nihanth Subramany y fue confirmada por la presencia de un repositorio de GitHub recientemente publicado titulado "Breach Alerts Prototype". El desarrollador utilizará el proyecto Have I Been Pwned como fuente de información relacionada con brechas de seguridad.

Más información en GitHub

Google no permitirá que software de terceros inyecte código en Chrome

Para mejorar el rendimiento y reducir los bloqueos causados por el software de terceros en Windows, Google Chrome, a mediados de 2018, ya no permitirá que las aplicaciones externas ejecuten código dentro de su navegador web. En este sentido, Google ya ha anunciado su plan, pero habrá algunas excepciones con el código firmado por Microsoft, el software de accesibilidad y el software IME para inyectar código en sus navegadores.

Más información en The Hacker News

Otras noticias

Millones de usuarios afectados por la brecha de seguridad de PayPal

Más información en The Hacker News

Minadores que siguen funcionando incluso después de cerrar el navegador

Más información en Security Affairs

Vulnerabilidad en el wallet CoinPouch para Verge

Más información en Security Affairs

Diferentes agentes de autenticación de RSA afectados por dos vulnerabilidades críticas

Más información en SecLists

¡Regístrate a la newsletter!

¡MÁS INFORMACIÓN!

En la próxima sesión de nuestra serie Code Talks for Devs, una de nuestras #MujeresHacker y developer, Carmen Torrano,nos habla sobre la detección de anomalías en tráfico red utilizando Machine Learning. Esta reflexión la realizará mediante un caso de uso práctico, basado en el análisis de algoritmos aplicados a Machine Learning.

Torrano ofrecerá, mediante este webinar, una visión práctica sobre cómo usar las librerías de datascience Pandas y de Machine Learning Scikit-Learn, así como recursos tipo transformadas y los pipelines. Estos últimos resultan muy útiles a la hora de trasladar características del tráfico de red para analizarlas mediante algoritmos.

¡Recuerda! El próximo miércoles, 13 de diciembre, tienes una cita en nuestra comunidad para asistir a este webinar y, además, dejar tus comentarios a nuestros expertos. El talk estará disponible a partir de las 15;30 horas (CET). ¡Aprende con nuestra hacker!

También te puede interesar:

» #CodeTalks4Devs: Di adiós al ‘polling’ en Latch con los nuevos Webhooks

El pasado jueves, 30 de noviembre, se celebró el Día Mundial de la Ciberseguridad. Desde ElevenPaths hemos redactado un decálogo de #CyberTricks con ciberconsejos de algunos de nuestros expertos: Chema Alonso, Pablo San Emeterio, Yaiza Rubio, Carmen Torrano y Félix Brezo, para saber dónde tenemos que poner atención cuando estamos conectados desde nuestros dispositivos.

Quiénes mejor que los grandes referentes del sector de la ciberseguridad, que conocen de primera mano las vulnerabilidades más comunes, para recordarnos la importancia de estar informado sobre los riesgos reales de la red y adelantarnos qué debemos hacer si queremos estar protegidos manteniendo a salvo nuestra información en la red.

Cibertricks o ciberconsejos de ElevenPaths

Decálogo de #CyberTricks de los expertos de ElevenPaths

1. "Hack your attitude and learn security!" Chema Alonso

2. “La seguridad 100 % no existe. No reutilices contraseñas y usa segundos factores de autenticación” Félix Brezo

3. “Si aceptas por defecto las opciones de privacidad en tus RRSS, puedes exponer más información de la que eres consciente”. Yaiza Rubio

4. "Actualiza tus dispositivos y aplicaciones si no quieres estar expuesto a vulnerabilidades conocidas" Pablo San Emeterio

5. "No olvides cerrar tu sesión, usar contraseñas seguras y cambiarlas periódicamente". Carmen Torrano

6. “Atento a la publicidad intrusiva, puede ser engañosa intentando que te instales un software malicioso”. Yaiza Rubio

7. “Cuidado con los adjuntos de emails que no conoces, pueden incluir instalaciones de apps maliciosas”. Félix Brezo

8. "Comprueba la URL de los emails antes de pulsarlos para evitar phising". Carmen Torrano

9. "Si una compañía te reclama una deuda por correo electrónico verifica su autenticidad por otra vía, podría ser un ramsonware". Pablo San Emeterio

10. "Mejora la seguridad de todas tus identidades digitales usando segundos factores de autentificación. Latch, your digital life!" Chema Alonso

También te puede interesar:

» Semana de la Ciberseguridad en ElevenPaths

Vuelve a ver todos los #cybetricks en nuestras redes:

Durante mucho tiempo hemos investigado sobre HSTS, HPKP, certificate pinning y tecnologías TLS en general. Como efecto colateral de este trabajo hemos encontrado algunas debilidades interesantes en la forma en la que Firefox, Chrome e IE/Edge implementan ambos mecanismos: HSTS y HPKP. Usando este estudio, fuimos seleccionados para la Black Hat Europe 2017 en Londres, donde hablamos el pasado 7 de diciembre en la sección de briefings. Aquí hay algunos detalles sobre lo que hemos presentado, a modo de resumen de la presentación disponible aquí.

Introducción

Aparte de las vulnerabilidades como HeartBleed, CRIME, etc. los ataques habituales sobre SSL se aprovechan de:

Certificados Rogue: que ocurren cuando un atacante entra en una autoridad certificadora, desempeña la función de una CA dentro de una red, o se aprovecha de un error de procedimiento, lo que le permite emitir un certificado que parezca pertenecer a una entidad, pero en realidad es falso. En los últimos años podemos encontrar muchos ejemplos de este tipo.

Técnicas SSLStrip: consisten básicamente en interceptar una conexión inicial no segura, a partir de la que todas las peticiones siguientes son reconducidas vía HTTP y no HTTPS.

Para el primer problema, HPKP es una de las soluciones propuestas. Forzando al navegador a recordar los certificados legítimos de los sitios que visita, puesto que el servidor los envía usando una cabecera HTTP. Para el segundo, se utiliza HSTS. Que consiste en una cabecera enviada para obligar al navegador a recordar que siempre debe conectarse vía TLS/SSL, así no se producirá ninguna conexión insegura tras el envío de esta cabecera.

Hemos analizado cómo los diferentes navegadores implementan esas (relativamente) nuevas funcionalidades, y hemos encontrado (entre otros errores menores) lo siguiente:

Firefox

Tal y como explicamos cuando PinPatrol fue publicado, Firefox usa un fichero TXT con un límite de 1024 entradas para recordar dominios HSTS y HPKP. Parece que pensaron que era improbable que un usuario fuese a almacenar más que esa cantidad. Además implementaron el concepto de Score (puntuación) para cada dominio incluido.

Código de Firefox explicando el límite de 1024 entradas

Este score indica la frecuencia con la que el usuario visita cada dominio en días diferentes. Una puntuación de 0 significa que la cabecera ha expirado o que es el primer día que ha visitado el sitio. Este score adquiere el valor de 1 el siguiente día que el usuario vuelve a visitar ese dominio. Y subirá a 2 al siguiente día diferente (que no es necesariamente el siguiente día) que visite ese sitio con HSTS. En resumen, cuanto más frecuentemente el usuario visite el sitio en días distintos, mayor será el score. En caso de que fuese necesario eliminar alguna de las 1024 entradas para alojar nuevas direcciones (liberar un slot), se eliminará el que menor puntuación tenga.

Lo que hemos hecho es crear un JavaScript para Bettercap para inyectar dominios y un sitio web para alojarlo. Ambos elementos se han desarrollado para permitir el envío masivo de cabeceras HSTS (lo que llamamos "entradas basura") con diferentes subdominios. Firefox, en menos de 2 minutos, ha completado la tabla de las 1024 entradas y comienza a eliminar dominios legítimos con puntuación 0.

Script para enviar cabeceras desde nuestro sitio cloudpinning.com

¿Qué ocurre si un dominio legítimo tiene una puntuación mayor y es menos probable que sea eliminado? Para esos casos, debemos realizar este ataque en días diferentes, de esta manera nuestras entradas basura obtendrán un score de 1, y los dominios legítimos de 0 o 1 serán, con bastante probabilidad, eliminados. Y podríamos repetir indefinidamente este proceso.

Entradas basura con Score = 0 han eliminado dominios legítimos

Si no queremos esperar uno o varios días, podemos utilizar una técnica de Jose Selvi llamada Delorean, acelerando este período de tiempo en clientes Linux y Mac. Combinadas, podríamos probablemente desalojar dominios consolidados de las entradas HSTS y HPKP de Firefox, en pocos minutos.

Usando Delorian para acelerar el proceso, si quisiésemos hacerlo

Incluso si esto no funcionase y no somos capaces de desalojar un dominio de la tabla (esto equivale a deshabilitar HSTS y HPKP para este dominio, lo que permitiría un ataque Man in The Middle), Firefox, debido a este mecanismo basado en entradas, acabará usando únicamente un único espacio (el único que queda con score 0) para almacenar entradas HSTS. De esta forma será constantemente reemplazado por nuevos dominios con puntuación de 0 también, con lo cual, eventualmente, hace que HSTS sea inútil.

Si rellenamos las 1024 entradas con un valor mayor que 0, sólo quedará un espacio libre para usar.

Chrome

Chrome no implementa el concepto de score. Simplemente almacena HSTS y HPKP en un fichero JSON. Si alguien envía un conjunto amplio de entradas HSTS y HPKP desde un servidor o utilizando un ataque MiTM, Chrome los almacenará para siempre. Nuestra técnica aquí consiste en enviar miles de peticiones HSTS y HPKP gracias a la ilimitada cantidad de "pins" que almacena Chrome para HPKP, donde cada petición puede ser tan larga como lo permita una cabecera HTTP. Resultado: en aproximadamente 10 minutos, este fichero JSON ocupa 500 megabytes o más de espacio en disco duro, y como consecuencia Chrome se bloquea. Ni siquiera permitiendo escribir ni una sola dirección nueva. La única opción es eliminar la configuración (si es que se puede) o eliminar el JSON. Este ataque puede ser realizado desde cualquier sitio web donde se pueda insertar código JavaScript.

Montones y montones de pins enviados a Chrome

IE/Edge

Básicamente, la funcion o API que gestiona HSTS en Windows está localizada en la librería WININET.DLL, y se llama HttpIsHostHstsEnabled, que parece no tener documentación oficial. Entendemos que para comprender el sistema en detalle se requiere un proceso de ingeniería inversa y análisis forense más profundo. Internet Explorer (e incluso de Edge), Microsoft utiliza un tipo de base de datos propietaria llamada Extensible Storage Engine (ESE) para almacenar datos HSTS entre otros. Este fichero con la información en bruto se almacena habitualmente en el fichero WebCacheV01.dat bajo el perfil de usuario, en la carpeta WebCache.

Con la falta de documentación oficial, esto es todo lo que puedes "saber" de cómo IE/Edge almacena su información HSTS

HSTS no parece funcionar adecuadamente en este navegador. Hemos descubierto que las tablas donde esta información se almacena aparentemente solo funciona con dominios populares. Parece que no se recuerda el HSTS para aquellos dominios menos conocidos. Además, incluso eliminando la cache (no sólo el sistema donde se almacena el HSTS) no parece afectar a la lista de entradas. Hemos realizado ingeniería inversa sobre las APIs que deberían estar involucradas en el almacenaje de esta información y por lo visto, nunca son usadas. Como PoC, hemos consultado 131 veces nuestra dirección cloudpinning.com, y tras reiniciar el navegador e incluso el ordenador, ni un solo cambio fue realizado en las tablas permanentes de HSTS.

Algunas solicitudes no parecen tener impacto alguno en Internet Explorer

Ponemos a disposición nuestro sitio web cloudpinning.com para que cualquiera pueda ver y jugar con este concepto, y sentíos libres de utilizarlo.

Innovación y laboratorio

innovationlab@11paths.com

www.elevenpaths.com

El Ejército de Estados Unidos ha aprobado un programa para reclutar expertos con experiencia en ciberseguridad directamente en el servicio en un intento de reforzar un campo en crecimiento que los líderes militares consideran vital para la seguridad nacional. Sin embargo, esta medida, aprobada por el Pentágono y el Congreso, se trata de un piloto. De momento, busca traer cinco nuevos oficiales cada año durante cinco años.

En España también han surgido varias iniciativas para contrarrestar las dificultades presupuestarias y de formación de las Fuerzas Armadas. En concreto, la última medida fue publicada el pasado mes de noviembre procedente del Mando Conjunto de Ciberdefensa por la que se esperaba contar con un grupo de expertos solamente en aquellas situaciones necesarias, pero sin ninguna remuneración a cambio.

La solución no es trivial. A pesar de los esfuerzos por recolocar y capacitar a personal interno de otras áreas hacia estos puestos, no existen procedimientos formales de captación de personal civil que permitan satisfacer las necesidades de estos organismos públicos (y los que están surgiendo parece que no son lo suficientemente atractivos). En cualquier caso, este tipo de procedimientos son difícilmente compatibles con los modelos actuales de captación de personal. La realidad es que los procedimientos de selección de este tipo de perfiles podrían entrar en conflicto con la rigurosidad de los controles exigidos por determinadas habilitaciones de seguridad y que terminarían por dejar fuera a candidatos con un alto grado de especialización.

Más información en Stars and Stripes

Noticias destacadas

El grupo MoneyTaker roba millones de bancos estadounidenses y rusos

Investigadores de seguridad han descubierto un nuevo grupo de habla rusa que no había sido detectado previamente y que silenciosamente se ha dirigido a bancos, instituciones financieras y firmas legales, principalmente en los Estados Unidos, el Reino Unido y Rusia. Según la firma de seguridad Group-IB, el grupo denominado MoneyTaker se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluyendo AWS CBR (Russian Interbank System) y SWIFT (Estados Unidos). Group-IB también ha advertido que los ataques de MoneyTaker contra las organizaciones financieras parecen estar en curso y que los bancos en América Latina podrían ser su próximo objetivo.

Más información en Group-IB

Los autores de Orcus RAT ponen foco en los inversors de Bitcoin

Según expertos de Fortinet, los autores de Orcus RAT han comenzado a apuntar a los inversores de Bitcoin con su software malicioso. La cadena de ataque comienza con mensajes de phishing que publicitan una nueva aplicación sobre un bot para Bitcoin llamado "Gunbot" desarrollado por GuntherLab. Fortinet advierte que los actores que hay detrás de Orcus RAT implementaron algunos cambios para la descarga de malware, por ejemplo, el uso de dominios typosquatting para intentar imitar foros como el de Bitcointalk.

Más información en Fortinet

Noticias del resto de la semana

Parches en OpenSSL por cuarta vez en 2017

El proyecto OpenSSL lanzó la versión OpenSSL 1.0.2n con dos vulnerabilidades descubiertas por el investigador de Google David Benjamin. El primer problema de gravedad moderada, con CVE-2017-3737, está relacionado con un mecanismo de "estado de error" implementado desde OpenSSL 1.0.2b. El segundo, con el CVE-2017-3738, es una vulnerabilidad de desbordamiento que podría ser explotada por un atacante para acceder a las comunicaciones protegidas por TLS. Fue calificado como de baja severidad porque es muy difícil desencadenar en un escenario de ataque real.

Más información en OpenSSL

Un fallo en Android permite inyectar malware en aplicaciones sin alterar las firmas

Millones de dispositivos Android se encuentran en peligro tras identificar una nueva vulnerabilidad crítica (CVE-2017-13156) que permite a los atacantes sobrescribir las aplicaciones legítimas instaladas en su smartphone con sus versiones maliciosas. Apodada Janus, la vulnerabilidad permite a los atacantes modificar el código de las aplicaciones de Android sin afectar a sus certificados, lo que finalmente les permitiría distribuir actualizaciones maliciosas para las aplicaciones legítimas, que se ven y funcionan igual que las aplicaciones originales.

Más información en Guardsquare

Keylogger preinstalado en más de 460 modelos de portátiles HP

Un investigador de seguridad llamado ZwClose ha descubierto un keylogger en varias computadoras portátiles Hewlett-Packard (HP) que podría permitir registrar cada pulsación realizada en el teclado. El keylogger se encontró en el archivo SynTP.sys, una parte del driver del touchpad Synaptics que se envía con los portátiles HP, dejando más de 460 modelos de HP Notebook vulnerables.

Más información en The Hacker News

Otras noticias

Comprometen el servicio de minería de Nicehash: 60 millones de dólares robados

Más información en The Register

Microsoft dejó expuesto accidentalmente el certificado de Dynamics 365 TLS y la clave privada durante al menos 100 días

Más información en Security Affairs

Graves fallos en los lenguajes de programación más populares podrían exponer cualquier aplicación segura construida encima de ellos

Más información en Security Affairs

¡Regístrate a la newsletter!

Ilustración realizada por Catalina Guzmán

“Tú gestionas cosas. Tú lideras personas”.

Grace Hopper

Grace Hopper, también conocida como “Amazing Grace”, fue la primera mujer Almirante de EE.UU, ingeniera en computación, desarrolladora de softwares, y pionera en programación que contribuyó a la industria tecnológica con la creación del lenguaje de COBOL y el término “bug”.

Biografía

Nació el 9 de diciembre de 1906 en Nueva York y murió el 1 de enero de 1992 en Arlington County, Virginia. Estudió Matemáticas y Física en la Universidad Vassar College, que en ese momento era solo para mujeres. En 1934, se convirtió en una de las pocas mujeres con el título de Doctorado en Matemáticas.

Grace Hopper, debido a la II Guerra Mundial se inscribió a la naval en 1944 y, por su especialización con los números, le asignaron el proyecto de computación de la Oficina de Artillería en la Universidad de Harvard. Durante su tiempo ahí, ella aprendió a programar con Mark I, la calculadora automática controlada por secuencia de IBM, convirtiéndose así en la primera mujer en programar este proyecto. Con esta tecnología, Hopper, logró que la bomba atómica funcionara ya que, resolvió un cálculo que mostraba el punto exacto en el cual aplicar presión para que una esfera colapsara en sí misma. Por el hecho de ser mujer no la sacaban en las fotos grupales, a pesar de sus muchos logros.

Después en 1947, trabajó en Mark II y creó métodos de validación para este lenguaje. Mientras trabaja en este proyecto creó el término “bug” o “debugging”. Una noche el ordenador mostraba error, y tras investigar qué pasaba se dieron cuenta que había una polilla en uno de los circuitos. Quitaron el insecto y lo pegaron en el cuaderno de notas del proyecto con el comentario, "Primer caso real de un "bug" encontrado".

Ella continuó su trabajo en el sector de la programación y, en 1959, creó el primer recolector de lenguaje en un ordenador. Amazing Grace se dio cuenta que las computadoras no podían hablar entre ellas y abogó por cambiar del código binario, que estaba compuesto de símbolos y números, a uno que usara palabras. Hopper, llamó esta creación COBOL, lenguaje común de programación orientado a negocios y aplicaciones para archivar. Este lenguaje de programación se volvió imprescindible ya que el usuario ya no necesitaba un PhD para poder programar, acercándolo así al público.

Logros
Por su larga trayectoria en la naval, en 1985, Hopper logró el rango de Contraalmirante, convirtiéndose en la única mujer con el grado de Almirante de Estados Unidos. Recibió más de 40 doctorados Honoris Causa, la Medalla Wilbur Lucius Cross de Yale, el rango de Capitán en 1973 y el de Comodoro en 1983. En 1991, Grace fue galardonada con la Medalla Nacional de Tecnología, siendo otra vez más la primera mujer en recibir este honor. Durante sus años profesionales ella fue muy solicitada como oradora en eventos de informática ya que tenía un estilo animado y sus historias de guerra llamaban mucho la atención.

Actualmente, le rinden homenaje con el Grace Hopper Celebration of Women in Computing, la conferencia técnica más grande de mujeres en programación. También, en 2016, nombraron el primer edificio militar con el nombre de una mujer, Hopper Hall.

¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario!

Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM:

» Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In"

» Susan Kare: una pionera e influencia en la iconografía digital

» Dorothy Vaughan: matemática y primera manager afroamericana de la NASA

» Jude Milhon: defensora pionera de los ciberderechos

Esta semana os traemos el relato de Rosa María Castillo, una de las expertas en I+D de la compañía que lidera la parte de Telefónica Information Systems. Ella es una de las mujeres que con pasión y talento, ayuda a mejorar nuestras tecnologías día a día.

Rosa María Castillo, una de las #Mujereshacker de Telefónica CDO nos cuenta su historia:

Titularía mi historia de la siguiente manera: "¿Quieres crear el futuro? Aquí tienes algunas pistas."

Y mis pistas o consejos personales son las que he ido reuniendo poco a poco y las que he querido agrupar y contaros desde el momento en que me dieron la oportunidad de escribir este post. ¡Vamos allá!

Desde que tengo uso de razón me recuerdo muy observadora, me gustaba todo lo que tuviera que ver con descifrar enigmas, acabar puzzles y sobre todo me atraía todo lo desconocido. Sabía que me iba a convertir en una "chica de ciencias" y sabía que seguiría con paso firme mi camino hacia el sector tecnológico.

Mi primera decisión importante fue ésta, la de elegir estudiar en la Universidad de Granada una Licenciatura en Informática. Recuerdo como en esa época tuve muchas dudas en el inicio, no tenía muy claro si quería estudiar Matemáticas o Informática. Una vez llegó el momento decisivo, mi elección se decantó hacia la Informática y a partir de ahí, se despejaron todas las dudas y ya no tuve ningún miedo. Para mí, el futuro está en lo desconocido y por eso, hay que animarse a descubrir caminos nuevos.

Cuando me incorporé al mundo laboral, todo fueron retos al principio: despliegues de red, el mundo de las .com, proyectos innovadores, etc. Durante esa primera época y en todo mi recorrido, de entre todos los referentes que tuve y tengo, mi hermano siempre ha sido de los más importantes. En mi etapa de estudiante fue mi principal apoyo, me animó a entrar en el mundo de la Informática y se lo agradeceré siempre. Para andar todo este camino se necesita valentía pero, sobre todo rodearte de gente que quiere que llegues a lo que más deseas hacer y quiera acompañarte en esta larga trayectoria.

Mis inicios fueron duros, era un mundo de chicos, aún así las 4 chicas que estábamos en clase nos titulamos y seguimos caminos diferentes. Una de ellas opositó y ahora es inspectora de educación, otra trabaja en una PyME y las otras dos trabajamos en Multinacionales. Invito a las chicas que se lo están pensando para que pidan información, que hagan talleres y que descubran el abanico de posibilidades que existen para desarrollarse como profesionales.

Gracias a la constancia, el esfuerzo y las ganas de seguir aprendiendo, me doy cuenta de la cantidad de oportunidades que pueden motivar a las chicas y chicos apasionados por la tecnología. Desde mi punto de vista, los profesionales deben informar y motivar a los jóvenes ya que juegan un papel fundamental junto con los colegios y las familias.

Finalmente, mi principal visión para cualquiera que quiera apostar por un camino concreto hacia la tecnología es que queda mucho por descubrir dentro de este campo todavía. Para poder triunfar en este mundo, lo que se necesita es tener una mente ordenada, un pensamiento crítico y muchas ganas de aprender. Si unimos esto con un poco de creatividad y constancia el éxito está asegurado.

Si tu quieres ser hacker tienes que saber que este mundo tiene un abanico muy amplio, y ofrece oportunidades para todo aquel que quiera aportar nuevas ideas en campos tan diferentes como Informática y Derecho o Informática y Medicina. Si tienes pasión y sientes que puedes aportar mucho en este campo, no tengas miedo, sigue adelante, ¡y tu camino se irá despejando poco a poco!

Rosa María Castillo

Telefónica Information Systems Manager
@RMCC2004

Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker:

» Mamá, yo quiero ser hacker

» Sheila Berta, la speaker más joven en DefCON & BlackHat

» Laura Iglesias, experta en ciberseguridad y hacking en Telefónica

» Paula López, Data Scientist en la 4ª Plataforma de Telefónica

Hace unos meses publicamos un kit de utilidades realizadas en PowerShell (principalmente enfocadas a administradores de sistemas) destinadas a realizar una trazabilidad de los diferentes equipos por los cuales un dispositivo USB ha sido conectado dentro de la red de nuestra empresa. Los resultados obtenidos son realmente sorprendentes, ya que estas redes “alternativas” pueden conectar ordenadores que incluso están físicamente aislados entre sí en diferentes segmentos de red y también conectar equipos que teóricamente están totalmente aislados de Internet.

Ahora hemos dado un paso más para facilitar esta tarea de descubrimiento de estas “redes ocultas” y hemos creado una nueva prueba de concepto (POC) desarrollada en Python versión 3.4 llamada Hidden Networks:

Imgen Panel principal POC Hidden Networks ElevenPaths

Panel principal de la prueba de concepto Hidden Networks.

Desde ella podemos crear un proyecto completo desde el cual realizar y almacenar nuestro análisis, tanto de equipos locales o incluso de forma remota (dentro de un dominio) utilizando el protocolo WMI. Para la opción de red, al igual que el funcionamiento de los scripts en PowerShell, sólo será necesario crear un fichero formato txt con las direcciones IP o los FQDN de los equipos a auditar.

Hidden Networks. Detecting Hidden Networks created with USB devices from ElevenPaths

En nuestro proyecto obtendremos como salida, dos ficheros tipo .CSV y .JSON con toda la información recopilada. Esta información a su vez se puede visualizar en forma de grafo desde el mismo programa mostrando la interconexión del dispositivo entre los diferentes ordenadores. Hemos utilizado la librería networkx en Python para dibujarlos, lo cual facilita la comprensión de la información recopilada y mostrarla en un gráfico de red, donde con arcos se mostrará la conexión entre los diferentes nodos (ordenadores) indicando su dirección IP y el nombre del equipo en el dominio:

Imagen ejemplo de grafo POC Hidden Networks ElevenPaths

Ejemplo de grafo dibujado con el recorrido realizado por el usb “Kingston Data Traveler G3”.

Este programa también permite la opción de importar cualquier fichero .CSV, con las especificaciones de Hidden Networks, para dibujarlo directamente sin necesidad de crear un proyecto o realizar la tarea de extracción de la información.

También te puede interesar:

» Repositorio GitHub

» Whitepaper “Hidden Networks: Detectando redes ocultas con los dispositivos USB”

Francisco José Ramirez

Security Researcher en ElevenPaths

franciscojose.ramirezvicente@telefonica.com